PodSecurityPolicies(PSPs)는 Kubernetes 1.22에서 더 이상 사용되지 않으며 Kubernetes 1.25에서 제거됩니다. 이 페이지는 Teleport 사용자에게 이러한 변화의 보안적 함의를 설명하고, 필요한 조치를 안내합니다.

두 개의 Teleport 차트 teleport-cluster와 teleport-kube-agent는 Teleport 포드를 위한 추가 보안 수준을 제공하기 위해 PodSecurityPolicies에 의존하고 있었습니다. 이들의 제거는 두 가지 주요 결과를 초래합니다:

• 1.25로 업그레이드한 후, Helm이 PSP 객체를 참조하는 손상된 상태가 발생할 수 있습니다. 이 경우 Helm 릴리즈 상태를 수동으로 수정해야 합니다.
• 보안 정책 집행은 1.23부터 PodSecurityAdmission(PSA)에 의해 관리됩니다. PSA 보안 수준은 Helm이 관리하지 않는 namespace 리소스에서 구성됩니다. 이제 차트가 이를 설정할 수 없으므로 보안 집행 수준을 설정해야 합니다.

1.25 업그레이드를 준비하려면:

• 최소한 Kubernetes 1.23 이상을 실행하고 있는지 확인하세요. (kubectl version 실행)

• 차트를 배포할 네임스페이스에 PSA 집행 수준으로 레이블을 지정하세요:

  kubectl label namespace my-teleport-namespace 'pod-security.kubernetes.io/enforce=baseline'
  
  namespace/my-teleport-namespace labeled

• 차트에서 PSP 배포를 명시적으로 비활성화하려면 podSecurityPolicy.enabled: false를 설정하고 Helm 릴리즈를 업그레이드하세요.

모든 Teleport 네임스페이스가 적절한 PodSecurityStandard로 레이블이 지정되고, 모든 Helm 릴리즈가 PSP 비활성화 상태에서 최소한 한 번 업그레이드되면, 안전하게 1.25로 업그레이드할 수 있습니다.